ГлавнаяБаза уязвимостей БДУ → BDU:2019-03232
7.2высокая

BDU:2019-03232 (CVE-2019-13638)

Уязвимость функции do_ed_script (src/pch.c) программной Unix-утилиты GNU Patch, связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю получить доступ к конфиденциальной информации и выполнить произвольную команду
Опубликовано: 2019-09-19
Описание

Уязвимость функции do_ed_script (src/pch.c) программной Unix-утилиты GNU Patch связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации и выполнить произвольную команду с помощью специально созданного файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)GNU Patch (2.7.6)Red Hat Enterprise Linux (7.5 Extended Update Support)Red Hat Enterprise Linux (7.6 Extended Update Support)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (7.4 AUS)Red Hat Enterprise Linux (7.4 US for SAP Solutions)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:

Для GNU Patch:

https://git.savannah.gnu.org/cgit/patch.git/commit/?id=3fcd042d26d70856e826a42b5f93dc4854d80bf0


Обновление программного обеспечения до 2.7.6-5 или более поздней версии

Для Debian GNU/Linux:

https://www.debian.org/security/2019/dsa-4489



Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SVWWGISFWACROJJPVJJL4UBLVZ7LPOLT/

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Обновление программного обеспечения (пакета patch) до 2.7.5-1+deb9u2 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-13638

Для ОС ОН «Стрелец»:
Обновление программного обеспечения patch до версии 2.7.5-1+deb9u2

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
http://packetstormsecurity.com/files/154124/GNU-patch-Command-Injection-Directory-Traversal.htmlhttps://git.savannah.gnu.org/cgit/patch.git/commit/?id=3fcd042d26d70856e826a42b5f93dc4854d80bf0https://github.com/irsl/gnu-patch-vulnerabilitieshttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SVWWGISFWACROJJPVJJL4UBLVZ7LPOLT/https://seclists.org/bugtraq/2019/Aug/29https://seclists.org/bugtraq/2019/Jul/54https://security.gentoo.org/glsa/201908-22https://security.netapp.com/advisory/ntap-20190828-0001/
Проверьте безопасность своего сайта и почты → Полная проверка домена